Hiç şüphesiz bugüne kadar birçok internet kullanıcısı, robot olmadığı konusundan kendini web sitelerine kanıtlamaya çalışmıştır. Bunun için birçok farklı yöntem olsa da karşımıza en çok Google‘ın internet bot dedektörü reCAPTCHA‘nın çıktığını söyleyebiliriz. Ancak şu anda 650 binden fazla web sitesine yayılmış olan bot detektörü reCAPTCHA’nın son sürümü, her ne kadar güvenlik için iyi olsa da kullanıcıların gizliliği açısından sorun yaratıyor gibi görünüyor.
Geçen sonbaharda Google, rahatsız edici bir kullanıcı deneyimini tamamen ortadan kaldırmak amacıyla aracın yeni bir versiyonunu başlattı. Şimdi, reCaptcha V3 kullanan bir web sitesine bir form girdiğinizde , “Robot değilim” onay kutusunu görmezsiniz ya da bir kedinin nasıl göründüğünü bildiğinizi kanıtlamak zorunda kalmazsınız. Bunun yerine, hiçbir şey görmeyeceksiniz. Google, bunun yerine, kullanıcıların bir web sitesinde gezinme yöntemini analiz eder ve davranışlarının ne kadar kötü olduğuna bağlı olarak bir risk puanı atar. Google’ın reCaptcha ürün lideri Cy Khormaee, Google’ın bu puanları belirlemek için kullandığı sinyalleri paylaşmayacağını, çünkü dolandırıcıların iyi huylu kullanıcıları taklit etmesini kolaylaştıracağını söylüyor.
Fakat yeni reCAPTCHA’nın sorunu ise burada başlıyor. Çünkü web sitesi yöneticileri, ziyaretçilerinin risk puanlarına erişebilecek ve bunları nasıl ele alacağına karar verebilecek. Örneğin, yüksek riskli puanları bulunan bir kullanıcı herhangi bir siteye giriş yapmaya çalışırsa, web sitesi iki faktörlü kimlik doğrulama yoluyla ek doğrulama bilgileri girmelerini istemek için kurallar koyabilecek. Bu da kötü kullanımlara imkan veriyor diyebiliriz.
ReCaptcha’yı inceleyen iki güvenlik araştırmacısına göre, Google’ın kötü niyetli bir kullanıcı olup olmadığınızı belirleme yöntemlerinden biri, tarayıcınıza önceden yüklenmiş bir Google çerezinin olup olmadığı. Bu da tarayıcınızda yeni sekmeler açmanıza izin veren ve Google hesabınıza her zaman yeniden giriş yapmanız gerekmeyen çerez olarak betimlenebilir. Ancak , Toronto Üniversitesi’nde bilgisayar bilimi doktora öğrencisi olan Mohamed Akrout’a göre, Google’ın reCaptcha v3 testlerinde birinin insan olup olmadığını belirlemek için çerezlerini kullandığı anlaşılıyor.
ReCaptcha v3 ile teknoloji danışmanı Marcos Perona ve Akrout’un testleri, reCaptcha puanlarının, halihazırda bir Google hesabına giriş yaptıkları tarayıcıda bir test web sitesini ziyaret ettiklerinde her zaman düşük riskli olduğunu tespit etti. Alternatif olarak, test web sitesine Tor ya da VPN gibi özel bir tarayıcıdan girdilerse, puanları yüksek riskliydi.
Bu risk puanlama sisteminin doğru çalışmasını sağlamak için, web sitesi yöneticilerinin reCaptcha v3 kodunu yalnızca formlara veya giriş sayfalarına değil, web sitelerinin tüm sayfalarına yerleştirmeleri bekleniyor. Ardından, reCaptcha zaman içinde web sitelerinin kullanıcılarının nasıl davrandığını öğrenerek, daha doğru risk puanları elde etmeleri için makinenin temelini oluşturan makine öğrenme algoritmasına yardımcı oluyor. ReCaptcha v3 bir web sitesinin her sayfasında olması muhtemel olduğundan, Google hesabınıza giriş yaptıysanız, Google’ın reCaptcha v3 ile gömülü olduğu her bir web sayfası hakkında veri alma olasılığı bulunuyor ve bunların çoğunun görsel olmadığını da belirtelim.
Sonuç olarak Google, yeni reCAPTCHA ile isterse kişisel bilgileri depolayabilecek ve bu bilgiler Google tarafından kişiselleştirilmiş reklamlar için kullanılabilecek. Google her ne kadar bunu yapmayacağını söylese de kullanıcılar tarafından bir karanlık taraf olduğunu ve resmi bir açıklama gelmeden kafa karışıklıklarının devam edeceğini söyleyebiliriz.